Nutzung Passwort-Manager / Kennwortsicherheit

In der heutigen technologischen Zeit kommt man nicht mehr um die Nutzung von persönlichen Zugangsdaten vorbei. Sei es beim Mail-Konto, einem Konto von Microsoft 365-Diensten oder einem x-beliebigen Onlineshop.

In meinem letzten Blog-Beitrag habe ich ausgiebig über das Thema MFA berichtet, welches die Login-Prozesse massiv sicherer macht.

Aber auch die Kennwort-Sicherheit ist ein enorm wichtiges Thema. Früher wurde empfohlen, das Kennwort alle 90 Tage zu wechseln, da die Benutzer oftmals überall dasselbe Kennwort nutzten, um die Kennwörter handelbar zu machen. Davon ist man mittlerweile jedoch abgekommen, da zwischenzeitlich verschiedene Sicherheitsstufen mit dazu gekommen sind.

Wie die Kennwortsicherheit möglichst hoch, aber trotzdem gut im Griff gehalten werden kann, erfahrt ihr im nachfolgenden Blogbeitrag:

1. Wie erhöhe ich die Kennwortsicherheit?

Regeln nach heutigem State of the Art:

• Für jedes System ein anderes Kennwort (man nutzt nicht für das Onlineshopping, die Bank und das Mail-Konto dasselbe Kennwort)
• Ein Kennwort muss genügend «stark» sein (8-10 Zeichen mit Buchstaben, Zahlen, Gross- und Kleinschreibung sowie Sonderzeichen)
• Geändert muss es nur dann werden, wenn das Konto trotz Sicherheitsstufen trotzdem Mal gehackt wurde.

Vielfältigkeit zahlt sich aus!
Warum man nicht überall dasselbe Kennwort nutzt, hat folgenden Grund: Hackt jemand den Webshop vom Anbieter XY (was immer wieder passiert), bekommt der Hacker eine Mail-Adresse und ein Kennwort. Dieses probiert er dann bei etlichen anderen Onlinediensten und Mail-Anbietern aus und kann sich so bei zahlreichen Konten eines Users einloggen.

Am fatalsten ist somit, wenn man das Kennwort seines Mail-Accounts selbst für andere Dienste nutzt – denn so kann jemand die komplette Online-Identität stehlen und einen grossen Schaden anrichten. Selbstredend dürfen Kennwörter, die du geschäftlich nutzt, nicht in privaten Systemen eingesetzt werden.

Bezüglich Nutzung von verschiedenen Kennwörtern gibt es natürlich noch eine Optimierung. Man kann pro Dienst (oder Kategorie) eine separate Mail-Adresse nutzen. Dies ist jedoch etwas komplexer. Wer über eine eigene Domain verfügt, hat meist die Möglichkeit, weitere so genannte «Aliasse» anzulegen, was je nach Maildienst-Anbieter ebenfalls möglich ist. Bei der eigenen Domain stehen ggf. noch mehr Möglichkeiten zur Verfügung.

Ich z.B. verwende für Onlineshops die Mail-Adresse onlineshop@meinedomain.ch, für die Bank Nr. 1 bank1@meinedomain.ch und für die Versicherung 1 beispielsweise versicherung1@meinedomain.ch usw. Da es sich dabei aber wie gesagt nur um «Aliasse» handelt, landen sämtliche E-Mails, welche an diese Empfänger gesendet werden im selben Postfach-Eingang.

2. Wie funktioniert ein optimales Passwort-Management?

Du wirst dich nun sicherlich fragen, wie man sich so viele Logins und Kennwörter merken soll => gar nicht! Das ist effektiv gar nicht möglich. Die wichtigen zwei bis drei meistgenutzten Kennwörter kenne ich auswendig, alle anderen schlage ich bei Bedarf jeweils nach.

Kleiner Tipp zwischendurch zum Merken von wichtigen Passwörtern
Um diese zu merken, nutze ich die klassischen Merksätze, wie zum Beispiel:
– Mein Kennwort hat 22 Zeichen und Buchstaben mit einem Ausrufzeichen -> MKh22ZuBme!
– Everyday Shopping @XY is a funny thing! => 3S@XYiaft!

Passwort Manager
Alle anderen Passwörter, dich ich nicht regelmässig nutze oder auswendig lernen möchte, sind sicher in einer Kennwort-Manager Applikation verwahrt. Dabei handelt es sich um eine kleine Software, die du mit einem wirklich sicheren und langen Kennwort (z.B. 16 Zeichen) absicherst. Dort drin legst du dann sämtliche Kennwörter und genutzte Usernamen ab.

Natürlich kannst du auch den Kennwort-Manager deines Webbrowsers nutzen. Der Nachteil ist aber, dass du eventuell auch andere geheime Daten darin speichern willst (wie z.B. eine Kreditkarten-Nr, Hausschlüssel-Nr., Pass-Angaben usw.). Dann ist ein dezidierter Kennwort-Manager Software besser geeignet.

Damit du auf Webseiten die Kennwörter nicht mühsam im Passwort-Manager nachschauen und dann manuell eintippen musst, gibt’s entsprechende Browser-Plugins, die dies für dich übernehmen. Du musst nur den Passwort-Manager mit deinem Master-Kennwort entsperren.

Nutzung am Smartphone / im Büro
Natürlich möchtest du die Kennwörter nicht nur an deinem Notebook zuhause – sondern auch auf deinem Smartphone oder Büro-Gerät nutzen. Dies funktioniert grundsätzlich mit den heutigen gängigen Managern. Jedoch müssen die Daten dann zentral erreichbar sein. Ich z.B. habe für meine Daten ein NAS-System, auf das ich von überall her zugreifen kann. Dies ist entsprechend gut abgesichert.

Via Smartphone greife ich so auf die Kennwort-Datenbank zu. Diese Variante ist jedoch für Personen, die IT nicht als Hobby haben, bereits etwas komplexer. Daher bietet sich das Abspeichern der Kennwort-Datenbank (die über das Masterkennwort verschlüsselt ist) in einer Cloud an. Sei dies in der Google Cloud, bei Microsoft oder direkt beim Anbieter des Passwort-Managers. Ob jemand seine Kennwörter in der Cloud haben möchte, muss jeder für sich selbst entscheiden. Technisch ist dies – per stand heute – jedoch ziemlich sicher. Man kann die Kennwortdatei auch auf einem USB-Stick am Schlüsselbund mittragen (es gibt übrigens auch Sticks mit Fingerabdrucksicherung).

Nutzung Fingerabdruck / Gesichtserkennung / Windows Hello
Damit man nicht immer das lange Masterkennwort beim Öffnen des Managers eingeben muss, bieten viele Kennwort-Manager die Möglichkeit einen Fingerabdruck oder die Gesichtserkennung zu hinterlegen. Dies vereinfacht die Nutzung des Passwort-Managers enorm, das Auswendig-Lernen des entsprechenden Masterpasswortes sollte aber für den Fall der Fälle trotzdem nicht aussen vor gelassen werden 😉

Sicherung der Kennwort-Datenbank
Ein Verlust meiner Kennwort-Datenbank wäre eine Katastrophe. Daher ist es wichtig, dass man die Daten z.B. auf zwei verschiedene Memorysticks sporadisch kopiert und einen Stick beispielsweise ins Büro mitnimmt und den zweiten einem Familienmitglied übergibt. Selbstverständlich kann niemand etwas mit diesen Daten anfangen, da für das Öffnen der Datei ja das Masterkennwort fehlt.

Sicherung Masterkennwort
Auch wenn du dein Kennwort in- und auswendig kannst – könntest du es vergessen. Dies z.B. durch eine Amnesie als Folge eines Unfalls oder weil es einfach zu lange nicht mehr genutzt werden musste. Hier empfehle ich dir, dies einfach auf einem Blatt Papier aufzuschreiben. Natürlich legst du das Papier nicht zum Memorystick dazu, auf dem du die Kennwort-Datenbank gesichert hast. Auch eine schlechte Idee ist ein Word-Dokument auf deinem Notebook oder PC.

Lege das Papier optimalerweise an einer unauffälligen Stelle ab, wie zum Beispiel in einem Buch oder ähnlichem. Auf dem Blatt Papier sollte dann natürlich nicht «Masterkennwort Kennwort-Manager» als Titel mit drauf stehen 😉

Digitales Testament
Dieses Thema hat nicht direkt mit dem Kennwort-Manager zu tun, sollte aber auch bedacht werden. Wenn du verstirbst und deine Angehörigen oder Partner/in Zugang zu wichtigen Diensten brauchen, haben diese ein Problem. Denn an die Passwörter kommt man dann nicht ran. Hier gibt’s Möglichkeiten von einem digitalen Testament, was ich jedem empfehle.

Im Grundprinzip legst du fest, was mit deinen Daten auf dem PC und deinen Online-Diensten passieren soll nach deinem Tod. Auch musst du sicherstellen, dass deine Nachkommen an die Kennwörter für die Onlinedienste kommen. Dieses Thema ausführlich zu behandeln wäre aber für diesen Blog zu umfangreich.

3. Welchen Kennwort-Manager soll ich benutzen?

Wie bereits erwähnt, gibt es eine Vielzahl von Lösungswegen, um die Sicherheit von Passwörtern sowie deren Management zu erhöhen. Welche Variante für die einzelnen User am Besten ist, lässt sich also nicht global beantwortet. Wichtig ist dabei immer, wie man sich organisiert und vorallem, welches Vorgehen für einen selbst am handlichsten ist. Nachfolgend daher eine Liste mit den wichtigsten Facts rund um die bekanntesten Tools:

Passwort-Funktion / Ad-Ons in Webbrowsern wie Google Chrome, Microsoft Edge, Mozilla Firefox

• Kostenlos
• Einfache Bedienung, direkt integriert für die Nutzung beim Surfen
• Für Nicht-Webbrowser-Kennwörter nicht sinnvoll zu nutzen
• Sicherung der Datenbank via Synchronisation ins Onlinekonto des Browser-Herstellers. Zusätzliche Sicherung / Export der Kennwörter in eine Datei möglich
• Synchronisierte Nutzung auf verschiedenen Geräten (Notebook privat, Geschäft, Smartphone…)

KeePass (https://keepass.info/)

Diesen setze ich persönlich seit Jahren ein.

• Kostenlos
• Keepass ist open source und ist stark verbreitet.
• Speichern der Kennwortdatei in der Cloud möglich (via Plugins)
• Nutzung auf verschiedenen Systemen wie PC, Smartphone usw.
• Automatisches ausfüllen von Logins auf Webseiten (via Plugin)
• Der Funktionsumfang kann über Plugins massiv erweitert werden
• Ist eher für IT-Interessierte und teils etwas komplex

Weitere Passwort-Manger
Diese sind meist kostenpflichtig. Hier den Funktionsumfang aufzuführen, würde zu weit führen. Jedoch hilft hierfür sicherlich eine Webrecherche über deine favorisierte Suchmaschine.
– 1Password: https://1password.com/de
– DSwiss SecurSafe: https://www.securesafe.com/
– BitWarden: https://bitwarden.com/de-de/
– Keeper: https://www.keepersecurity.com/de_DE/
– usw.

Papier
Dieser «Kennwort-Manager» ist auch eine Variante. Besser auf Papier als gar nirgends aufgeschrieben – oder überall dasselbe Kennwort nutzen.
Das Papier muss dann aber an einem sicheren Ort abgelegt werden (z.B. in einer abgeschlossenen Schublade, Tresor, etc.)

4. Fazit

In der heutigen digitalen Welt ist der korrekte und vorallem sichere Umgang mit Passwörtern essenziell. Deshalb werden auch laufend neue Tools und Möglichkeiten zur Verfügung gestellt. Um jedoch die für sich am besten passende Lösung zu finden, geht nichts über das Ausprobieren.

Ich hoffe, dass ich dir die Thematik etwas näher bringen und ein paar nützliche Tipps mit auf den Weg geben konnte. Für weiterführende Informationen oder Unterstützung in der Tool-Wahl steht Dir das Team der TurnKey Services AG gerne zur Verfügung.